元宇宙资安真相：厂商拦隐私，骇客劫个资

由于 Metaverse 元宇宙被视为 3D 版的次世代互联网，所以不但会完全承接当前互联网上的各种安全威胁与漏洞，预计骇客也将会很快发展出元宇宙专属的各式攻击。但最可怕的是，元宇宙安全威胁的来源不仅止于骇客，连厂商也会大张旗鼓地凑一脚，他们会举起提升服务及体验品质的大旗，间接地和骇客分头造就出一个毫无个人隐私的 3D 数位国度。 

面对标榜“无限使用者上线”的元宇宙，不但厂商心动，连骇客也兴奋地调转枪头准备在元宇宙中放手一搏；再加上元宇宙特有的“长时间登录”使用习性，更一再地传递出“商机无限”与“无穷攻击价值”的强烈讯息，厂商与骇客都恨不得元宇宙能立马来到。

不过，即使迅速将公司名称改成“Meta”的 Facebook，也表示元宇宙的普及还要 15 年的时间，这说明了元宇宙的来到还要等上一段时间。毕竟元宇宙不像产品发表会有精准的时间点，而会从不同技术、应用与产业等层面的不断发展而逐渐趋于成熟/成形。

事实上，如今元宇宙早已踏出了普及之路的第一步，我们从许多大厂的积极布局，以及元宇宙概念股的火热就可以说明一切。同样的，恶意攻击者也开始从元宇宙概念验证攻击中累积经验、磨练手法。可以预见的，在厂商与骇客的两路包夹下，身处元宇宙之中的使用者将面临有史以来最严峻的隐私与个资挑战，对此，我们该如何有效因应？并率先在哪些面向做好准备？接下来就让我们一同深入探讨。

个资滥用与隐私侵犯

早在元宇宙之前，AR/VR 就成为厂商搜集使用者个资的利器，人们最常质疑的问题包括：AR/VR 厂商如何保护从使用者身上搜集到的资料？这些厂商是将资料储存在本地装置端，还是云端上？传输中及储存中的资料是否有加密？这些资料是否会分享给第三方合作伙伴？分享的目的及作用为何？

由于 AR 常沦为偷拍者侵犯/偷窥他人隐私的利器，不禁让人们身陷全民狗仔的恐惧中。除此之外，AR 也成为偷录电影或窃取公司机密的利器，商业利益及公司竞争力恐将在不知不觉中遭到破坏。

▲ AR 眼镜可以方便地录下眼前景观，但这也可能沦为偷拍者的利器。图为 Meta/Facebook 与雷朋联名的 AR 眼镜（Source：Facebook）

这些疑问不但会在元宇宙中再次出现，厂商从使用者身上所搜集资料的程度、面向及范畴将更胜以往，举凡使用者在元宇宙中的一举一动、视线所及的一切、目光焦点停留处及时间，乃至活动类型、消费喜好、购买力、社群互动、娱乐取向、交易标的、男女性向及生物识别资料等全被元宇宙厂商掌握殆尽，而且厂商只会鼓舌如簧地辩驳，这一切全为了提升使用者体验并提供更好的服务品质。

沉浸在元宇宙各种形形色色应用与活动的使用者，会突然意识到自己深陷在一个既无隐私，也没安全保障的 3D 虚拟世界里。因为骇客也能透过社交工程、网络钓鱼及恶意软件等工具及手法盗用使用者账号或窃取生物识别资料等个资。不仅如此，使用者可能在未来某日突然惊觉自己的行为及互动完全被元宇宙厂商主导与控制，毕竟厂商手上掌握了有史以来最钜细靡遗的个资与隐私，自然能更精准分析甚至形塑使用者的需求及行为。过去失败的“剑桥分析事件”，将在元宇宙中成功翻版。

▲ Facebook 过去曾爆发剑桥分析事件丑闻。（Source：Wikimedia）

 不安全 App 沦为骇客劫持账号与 DDoS 攻击管道

元宇宙在发展过程中，势必会不断冒出各种形形色色的游戏、购物、社交、工作、视讯会议、股票/虚拟货币/NFT 交易等 App，他们是唤起使用者加入元宇宙意愿的最佳催化剂。正因为如此，确保 App 账号及存取安全将会是元宇宙相关应用服务的第一优先事项，毕竟实体世界 App 常见的身份盗用及账号劫持问题，一样会依样画葫芦地在元宇宙中出现。尤其对一心牟利的骇客而言，真正具备攻击价值的并非 PII 个人识别资讯，而是账号。因为骇客可以将内含破关进度或宝物的账号在网上贩售。

如今 Goolge Play 上不时会出现许多恶意 App，所以届时元宇宙上除了可能充斥大量不安全的 App 之外，也会涌现大量的免费 App，这些 App 有可能成为潜藏广告及恶意软件的温床。此外，骇客也可能透过对特定元宇宙 App 或服务发动 DDoS 攻击来要胁厂商。

NFT 安全攻防将成元宇宙重大安全问题

无庸置疑的，具备不可替代性与不可分割性的 NFT 非同质化化币，将成为元宇宙使用者做为虚拟土地、房子、汽车等资产，抑或虚拟头像的最佳独一无二权益证明，这点从元宇宙还没“真正上演”，NFT 就已在当前网络上“轰动万教”说明一切。如此热门的 NFT，自然成为骇客的最新攻击目标，事实上，骇客的确已找到窃取 NFT 的方法，并在网上销售 NFT 形式的零时差漏洞攻击工具。另外值得注意的是，当前网络上并有假 NFT 在网上贩售的案例，所以 NFT 安全攻防必定会是今后元宇宙里的重大安全问题之一。

▲ 台湾罗芙奥艺术集团在台湾举办的首场《All IN: NFT Curated – New Flow of Tweet》NFT 拍卖会中开卖稀有的 BAYC 无聊猿 NFT 头像。（Source：Hyperbeast）

当前 NFT 市场上，除了虚拟资产、艺术品不断缔造令人咋舌的交易价格纪录之外，就数 Avatar 虚拟头像最为火热，例如仅有 24 个超稀有的 Cryptopunks 猴子，一个要价就破千万美元，如此身价自然会激起骇客攻击的强烈欲望。但动起 NFT 虚拟头像歪脑筋的不仅止于骇客，之前就有 Roblox 使用者账号被川普支持者劫持，导致自己专属虚拟头像穿上川普支持者所穿戴的衣帽，这让使用者的虚拟头像成了政治或商业宣传的工具。

入侵人手一机的 AR/VR 装置成为家常便饭

在实体世界时有 VR/AR 被骇案例，未来在人手一机的元宇宙中恐怕更容易发生，同时 VR/AR 与元宇宙服务器/应用服务之间的连线也可能遭到劫持，骇客可借此对正在进行中的交易程序发动中间人攻击。为了避免 VR/AR 装置或 App 所传送资料遭到骇客拦劫，加密或 VPN 便成为必要的基本防护措施。

▲ 未来人手一机的 AR/VR 有可能沦为骇客攻击的目标或跳板。（Source：Kaspersky）

 任何装置都有可能被植入恶意软件，VR/AR 装置自然也不例外，更何况目前似乎没有针对 AR/VR 的安全防护产品。总之，骇客可借此启动装置上的摄影机或录音机，进而搜集使用者视线中的一切影像与声音资料，或借此破获可泄露重要工作场合凭证的相关资讯。

最骇人听闻的，安全技术人员证实骇客甚至可以改变使用者眼前看到的东西，进而诱使使用者执行有利于骇客的勾当，甚或故意制造像谍战电影中让人身陷受伤或死亡的意外。再者，骇客也有可能透过恶意软件锁死使用者装置，使用者只有付赎金才能恢复正常使用。

除了上述可能风险之外，未来元宇宙将成为厂商打广告的圣地，因为厂商可以轻易地将广告散布在使用者视线所及的建物、街道、地面、墙壁、交通工具，甚至天空及行人前胸/后背上，所以元宇宙将成为广告无所不在的泛滥国度。

再者，过去常常传出有宝可梦玩家太入迷，结果掉进池溏、水沟的惨剧发生，同样的实体安全问题，恐怕在元宇宙时代里会更严重。使用者若在特定场域玩得太过入迷，也有可能导致宵小趁机偷取财物的状况发生。

▲ 过去曾有媒体报导宝可梦玩家因为分心而造成多起交通事故，甚至死亡事件。（Source：Newscientist）

总而言之，元宇宙的隐私及个资安全，有待长时间法律面与协定面的重新修订与增订。有趣的是，11/2 日 Meta/Facebook 宣布展开为期两年共投资 5,000 万美元的“XR 计划”（XR Programs and Research Fund），以致力元宇宙的安全。一家过去在个资及隐私权毫无信用可言的公司，竟然侈言元宇宙的未来安全，这就好比全球头号骇客宣布要促进全球资讯安全一样毫无公信力，岂非可笑之至？

（首图来源：华纳兄弟台湾）

延伸阅读：

• 突破“元宇宙”盲肠！VR / AR 技术问题未解一切拢系假
• 即将普及还是遥遥无期？一次盘点 8 大“元宇宙”临场感难题